Advarsel: Pas på hvad du siger i din GSM-mobil

Der er for alvor kommet gang i debatten om sikkerheden i GSM, efter at den tyske krypteringsekspert Karsten Nohl i sidste uge meddelte, at han har brudt den kode, der anvendes til kryptering af GSM-samtaler.

Selvom teleindustriens interesseorganisation GSM Association forsøger at nedtone problemet og kalder det "teoretisk muligt, men praktisk usandsynligt," så bakker flere internationalt anerkendte sikkerhedseksperter op om Karsten Nohls budskab om, at der er et problem med sikkerheden i GSM.

Det gælder også danske Carsten Jørgensen, sikkerhedskonsulent hos Devoteam Consultning, der rådgiver større virksomheder om it.

"GSM-kommunikation er på ingen måder sikkert. Som almindelig bruger af en mobiltelefon har man en følelse af, at det egentlig er mere sikkert end internettet, men det er det på ingen måder. Sikkerheden har ikke været opdateret i tyve år," siger han.

"Jo mere vi bruger telefonerne, jo større bliver risikoen, og jo flere angreb vil der også komme. Så når man begynder at bruge dem til bank (telefonerne, red.) og kan købe flere ting over telefonen, bliver det selvfølgelig også mere interessant for de kriminelle," forklarer Carsten Jørgensen.

Algoritme-sårbarhed
Kryptering af GSM-samtaler sker i dag ved hjælp af en 64-bit algoritme kaldet A5/1, mens 3G-netværk anvender A5/3, en nyere 128-bit version.

Tyske Karsten Nohl er i stand til at bryde GSM-krypteringen ved hjælp af det, der kaldes et 'rainbow table', hvormed man kan regne sig frem til krypteringskoden.

Carsten Jørgensen peger på, at det i sikkerhedskredse langt fra er nyt, at GSM-krypteringen kan brydes.

"Jeg tror, at det var i 1994, at de første sårbarheder kom frem, så man har haft 15 år til at kigge på det indtil videre. Man har muligvis været lidt i samme situation som Apple; der har ikke været nogen angreb, og så har man ikke taget det så alvorligt, som det egentlig er. Men nu ændrer det sig."

"Det er en helt anden situation, så man er nødt til at kigge på den her krypterings-algoritme," mener Carsten Jørgensen.

Han forklarer, at en mulighed er at opdatere til den krypterings-algoritme, der anvendes på 3G-telefoner, men at det ser ud til, at der også kan være sikkerhedsproblemer med den.

"Hvis man bruger 3G i dag, er man ikke sårbar over for de her angreb, men det er et spørgsmål om tid, inden det også bliver brugt. Så de er nok nødt til at finde på en ny algoritme."

Fortsættes ...